策略执行

查看本文大纲

所有安全策略的描述都是假设基于会话协议的有状态策略执行。这意味着策略的意图是描述允许的连接建立方向。如果策略允许A => B,那么从 B 到 A 的回复数据包也会被自动允许。但是,并不自动允许 B 向 A 发起连接。如果希望得到这种结果,那么必须明确允许这两个方向。

安全策略可以在 ingress 或 egress 处执行。对于 ingress,这意味着每个集群节点验证所有进入的数据包,并确定数据包是否被允许传输到预定的终端。相应地,对于 egress,每个集群节点验证出站数据包,并确定是否允许将数据包传输到预定目的地。

为了在多主机集群中执行基于身份的安全,发送端点的身份被嵌入到集群节点之间传输的每个网络数据包中。然后,接收集群节点可以提取该身份,并验证一个特定的身份是否被允许与任何本地端点进行通信。

默认安全策略

如果没有加载任何策略,默认行为是允许所有通信,除非明确启用了策略执行。一旦加载了第一条策略规则,就会自动启用策略执行,然后任何通信必须是白名单,否则相关数据包将被丢弃。

同样,如果一个端点不受制于四层策略,则允许与所有端口进行通信。将至少一个 四层策略与一个端点相关联,将阻止与端口的所有连接,除非明确允许。